Bulletin d'alerte Debian
DSA-057-1 gftp -- Attaque par format printf
- Date du rapport :
- 8 mai 2001
- Paquets concernés :
- gftp
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2001-0489.
- Plus de précisions :
-
Le paquet gftp distribué avec Debian GNU/Linux 2.2 a un problème
dans son code d'identification : il écrit les données reçues depuis le
réseau mais il ne le protège pas des attaques par format printf. Un attaquant
peut utiliser ceci en demandant des réponses spéciales en retour du
serveur FTP.
Ceci a été corrigé dans la version 2.0.6a-3.1 et nous vous recommandons de mettre à jour votre paquet gftp.
Note : cette annonce était postée comme DSA-055-1 par erreur.
- Corrigé dans :
-
Debian GNU/Linux 2.2 (potato)
- Source :
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.dsc
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/gftp_2.0.6a-3.1.dsc
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/gftp_2.0.6a-3.1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/gftp_2.0.6a-3.1_arm.deb
- Intel IA-32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/gftp_2.0.6a-3.1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/gftp_2.0.6a-3.1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/gftp_2.0.6a-3.1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/gftp_2.0.6a-3.1_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.